メルトピア

経営基盤を強化するIT戦略

三菱電機メルトピア。様々な事例がご覧いただけます。

  • Business Report

  • ビジネスレポート
  • 2015年 11月号(No.211)
  • 鎌倉市役所・三菱電機インフォメーションシステムズ株式会社
  • マイナンバー法施行に伴う特定個人情報保護評価制度に関する共同研究
  • マイナンバー制度で義務付けられる
    特定個人情報保護評価書の作成において
    鎌倉市とMDIS が共同でリスクアセスメントを実施

2016年1月から本格的に始まるマイナンバー社会保障・税番号制度(マイナンバー制度)。行政機関や地方公共団体は、「特定個人情報保護評価書」において、プライバシーに与える影響を予測し、特定個人情報*1の漏えい等の事態を発生させるリスクの分析と軽減するための適切な措置を講ずることを宣言する必要があります。神奈川県鎌倉市は、「特定個人情報保護評価書」の作成にあたり、三菱電機インフォメーションシステムズ株式会社(MDIS)と評価制度に関する共同研究を実施し、プライバシー保護対策を評価書にまとめました。

*1 「特定個人情報」とはマイナンバーを含む個人情報の事です。

古都としての風格を保ちながら生きる喜びと新しい魅力を創造するまち、鎌倉市(写真右)と鎌倉市役所本庁舎(写真上)

古都としての風格を保ちながら生きる喜びと新しい魅力を創造するまち、鎌倉市(写真右)と鎌倉市役所本庁舎(写真上)
鎌倉市 都市計画課提供

人物写真

鎌倉市
総務部 総務課 市政情報担当
係長
西野 正晃

人物写真

鎌倉市
総務部 総務課 市政情報担当
石川 夢宇太

人物写真

鎌倉市
市民活動部 市民課
山田 杏太郎

人物写真

三菱電機インフォメーションシステムズ株式会社
IT ソリューション事業本部
連携事業推進部
新規事業開拓営業課
エキスパート
朝倉 智栄

マイナンバーを取り扱う官公庁等に
義務付けられる「特定個人情報保護評価」

 マイナンバー制度が始まると、特定個人情報のリスク対策が課題となります。マイナンバー制度では、個人のプライバシー保護を目的に、行政機関や地方公共団体に「特定個人情報保護評価」の実施が義務付けられました。「特定個人情報保護評価」とは、国や地方自治体などが、特定個人情報の不正利用や情報漏えいのリスクを自ら洗い出してリスクへの対応策を実施し、特定個人情報の保護が十分であるとパブリックに宣言することで、プライバシーの侵害を防ぎ、国民や住民の信頼を確保するものです。
 「特定個人情報保護評価」は、特定個人情報の取り扱いが1,000人以上の行政機関や地方公共団体などが対象で、住民基本台帳や住民税などの事務作業を行うシステムの開発・改修の前までに実施しなければなりません。評価は特定個人情報を取り扱う「事務単位」とされ、別の事務で同じ特定個人情報を取り扱う場合においても、個別に評価を行う必要があります。
 評価の結果は「特定個人情報保護評価書(評価書)」にまとめて特定個人情報保護委員会*2に提出することが義務付けられ、評価書の内容はホームページなどを通して公表されます。評価を実施した後も制度改正などで事務手続きや運用に変更が生じた場合は、評価の再実施と評価書修正が必要とされ、さらに努力目標として、1年に1回は評価書の内容と事務運用の点検・見直し、5年経過前に評価の再実施が求められています。

*2 内閣府外局の第三者機関です。

▲ ページトップに戻る

大企業や金融機関等における
個人情報の管理実績とノウハウを評価

 「特定個人情報保護評価」の実施に際し、特定個人情報保護委員会では評価の指針を2014年4月に公開しましたが、あくまでも汎用的な記載例を示したもので、評価の詳しい方法が示されているものではありません。各自治体は業務特性や運用体制を考慮しながら評価内容を検討する必要があります。
 人口17万3,137人(2015年6月1日時点)、国内有数の観光地として知られる神奈川県鎌倉市も、評価書作成にあたり課題を抱えていました。同市で評価の取りまとめを行っている総務部 総務課 市政情報担当 係長の西野正晃氏は次のように話します。
 「特定個人情報保護の評価を行い、評価書を作成するのは、市民課、市民税課などの主管課の役割ですが、こうした業務を主管課にすべて任せるのは負荷が大きいと感じていました。そこで、市役所で個人情報を取り扱う業務に長く携わってきた市政情報担当の私どもが、評価への取り組み方を主管課に示し、評価書の作成をサポートすることにしました」
 鎌倉市がMDISから「特定個人情報保護評価」の共同研究の提案を受けたのはその頃です。2014年7月から検討を開始し、同年12月から共同研究に着手しました。MDISの提案を採用した理由を総務部 総務課 市政情報担当の石川夢宇太氏は「小所帯の部署である私どもだけで、限られた期間で取りまとめるには限界を感じていました。そのようなときに共同研究の提案をいただけたことは、まさに渡りに舟でした」と語ります。西野氏も「地元鎌倉市に拠点を置く三菱電機グループで、大企業や金融機関等の個人情報、機密情報の管理を長年に渡って続けてきたMDISの実績とノウハウを評価しました」と述べます。

▲ ページトップに戻る

共同で評価内容を吟味しながら
リスク対策のチェックリストを作成

 リスクアセスメントは、スケジュールの優先度とノウハウの蓄積を考慮して、特定個人情報の取扱件数が最も多い「住民基本台帳」の管理業務から始めることになりました。評価に取りかかる前に、共同研究グループが最初に行ったことは、事務部門へのヒアリングです。市役所で特定個人情報を扱う予定がある部署、その扱い方、業務での利用方法などを調査し、対象となる部署にヒアリングを実施。石川氏は「業務面、システム面で具体的なリスクをヒアリングして管理体制の問題を洗い出し、評価書に記載する内容や、実施後の運用を継続的かつ効率的に行うための対策を協議しました」と振り返ります。
 次のステップでは、事務部門にヒアリングした結果をもとに、評価書の作成に必要なマニュアルを作成しました。MDISの朝倉智栄氏はそのポイントを次のように語ります。
 「最も注意を払ったのは、主管課様が自分たちでリスクアセスメントを実施する際の手順や考え方を明確にすることです。その実現の一例として、判断基準を明確にしたリスク対策のチェックリストを作成して、ここまでできていれば合格といった目安となる点数を設定し、個人情報保護を評価する担当者が変わっても、判断にブレがないようにしました」
 住民基本台帳の管理業務におけるリスク評価と評価書の作成に関わった市民課では、特定個人情報の利用範囲を明確にすることから始めました。これによって特定個人情報を扱う際の改善点が明確になり、評価書の作成に役立ったといいます。市民活動部 市民課の山田杏太郎氏は「もし市民課の中だけで評価を行っていたら、客観的な視点が不足した可能性があります。第三者の視点が加わったことで、多角的にリスクを捉えることができました」と話します。
 チェックリストの作成時は、市民課や市政情報担当が積極的に意見を出し、もれがないように検討を重ねていきました。
 「リスク分析のチェックリストがあることで判断基準の統一ができ、5年先、10年先の別の担当者が評価書を修正する際も、同じ基準で判断することが可能になりました。これは、意義の大きいことです」(山田氏)
 特定個人情報保護評価の共同研究は、週1回のペースで2015年3月まで行われ、住民基本台帳の管理業務における評価書と評価マニュアルの作成を並行して進めていきました。評価書はまずMDISがひな形を作成し、次に市民課の内部で検討してMDISにフィードバック。ブラッシュアップされた評価書は、最終的に取りまとめを行う市政情報担当者のチェックを経て、特定個人情報保護委員会に提出し、2015年5月に公表となりました。

▲ ページトップに戻る

評価書作成の方針策定により
品質の均一化と負荷軽減を実現

 今回の共同研究で、評価書作成におけるリスクアセスメント、対策内容の判断基準、記入方法や記入内容のチェックリストに至るまでの方針を定め、マニュアルを整備したことにより、市役所内の対象部門は一定のルールで評価の実施が可能になりました。その結果、評価書品質の均一化と、職員の負荷軽減が実現しました。プライバシー保護に不安を抱いている市民に対しては、評価書をもとに運用していることを説明することで、信頼の獲得につながることが期待されます。
 共同研究を振り返り石川氏は「自治体業務のノウハウがあるMDISの迅速できめ細かなサポートにより、評価の基礎が早期に築けたことは大変助かりました」と評価します。
 鎌倉市では今後も評価書を改善しながら、市民の個人情報の保護を強化していく考えです。西野氏は「MDISのコンサルティングで確立した評価への取り組み姿勢や、作成したマニュアルは、評価書の再評価にも有効です。これで完成形とせず、今後も条例や運用の変更に合わせて柔軟に対応していきます」と語ります。

▲ ページトップに戻る

共同研究実施フロー

共同研究実施フロー

▲ ページトップに戻る